Movemenoreg vbs как удалить вирус
KINGSLON
Заработок, финансы, создание и продвижение сайтов
Популярные публикации
- Вирус создал ярлык флешки на флешке 399 просмотров
- Samsung Galaxy S8 скидка 80 % 141 просмотр
- Наборщик текста страховой взнос 122 просмотра
- ТОП популярных хэштегов ВКонтакте 72 просмотра
- Шрифт как ВКонтакте на фото 69 просмотров
- Развод копия Galaxy S8 59 просмотров
- Развод с QIWI кошельком 47 просмотров
- Как восстановить удаленную страницу ВКонтакте 44 просмотра
- Сообщество было заблокировано за резкую смену тематики 37 просмотров
- Развод сборка ручек на дому 32 просмотра
Вирус создал ярлык флешки на флешке
Имел неосторожность воткнуть свою флешку в компьютер коллективного пользования, и тут же получил подарок в виде вируса. И это несмотря на установленный на нем антивирус Касперского. При попытке зайти на флешку, в корневом каталоге обнаружил ярлык флешки. Все остальные файлы и папки исчезли.
Вначале я не на шутку распереживался, поскольку на флешке были важные данные, а бэкап я делал уже довольно давно. Но все таки — это была не физическая смерть данных. Флешка оставалась заполненной, прекрасно открывалась и я понял что смогу решить проблему.
По запросу «ярлык флешки на флешке» поисковики вывели довольно много вопросов пользователей на различных сервисах и форумах. Вероятно вирус начал активно распространяться недавно и проблема актуальна не только для меня.
Как исправить ситуацию
Решения проблемы необходимо разделить на два пункта. Первое — это возвращение вместо ярлыка, на флешку, всех файлов и папок целыми и невредимыми. И второе — это удаление вируса и предотвращение его дальнейшего распространения.
Вернуть файлы на флешку
Как исправить ситуацию и вернуть все файлы и папки на флешку? На самом деле все очень просто. Необходимо вставить флешку в компьютер, вызвать командную строку, прописать следующие команды:
cd /d X: (вместо Х вы вводите букву каталога вашей флешки)
attrib -s -h -a -r /s /d *.* (прописываете точно как указано)
Если файлов на флешке действительно много, может показаться что ничего не происходит или командная строка подвисла. Не переживайте, спустя некоторое время в корневом каталоге флешки появятся новые файлы и папки. В папке без названия «-» будут лежать все исчезнувшие файлы и папки.
Вам останется лишь удалить лишние файлы, и вырезать из папки «-» ваши файлы и вставить их назад в корневой каталог. Только пока не удаляйте autofun.inf (читайте об этом в самом конце).
Для автоматизации процесса я сделал небольшой батник (файл .bat) который можно просто скопировать на флешку и запустить. Он выполняет указанную выше команду, просто её не будет нужно прописывать в командной строке.
Ну и может быть он пригодится тем, у кого заражена целая сеть и много людей обращаются с проблемой ярлыка флешки на флешке. Иногда легче дать людям батник и показать как он работает, чем по 20 раз возвращать флешку к жизни самому.
Удалить вирус
Осталось дело за малым, удалить вирус с компьютера, чтобы остановить дальнейшее распространение.
Для этого скачиваем программу Process Explorer от Майкрософт с официального сайта.
Process Explorer v16.20
Далее её разумется запускаем и выбираем в выпадающем меню File / Show Details for All Processes для того чтобы отобразить все запущенные на компьютере процессы.
Жмем Ctrl + L и в окне в нижней части программы ищем процесс autorun.inf Вероятнее всего он будет находиться в ветке svchost.exe .
Жмем правой кнопкой мыши и выбираем Close handle (закрываем процесс). После чего удаляме с флешки файл autofun.inf .
Во временной папке Temp ( C:users%username%AppDataLocalTemp ) ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).
Всё, теперь вы точно удалили вирус и с флешки и с компьютера.
Winset
Вынесу из комментариев алгоритм действий в случае, если на флешке находится скрытая папка Winset.
Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:Users<Имя пользователя>AppDataRoaming скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.
Похожие публикации:
Навигация по записям
71 комментарий
У меня нет на флешке файла autofun.inf. И при поиске в программе Process Explorer у меня нет файла autorun. Но все флешки заражаются от моего ноутбука. Помогите, пожалуйста.
Переустановка системы однозначно решит проблему с вирусом, проникшим в систему. Но сам файл, из которого вирус проник в систему может быть скрыт в любом файле на любом диске вашего компьютера. После переустановки системы удалите все подозрительные приложения, игры и файлы со своего компьютера.
У меня тоже самое. Что делать?
Спасибо за помощь. Удалось вернуть файлы в нормальное видимое состояние.
Благодарю за отзыв, рад что смог помочь
Столкнулся с такой проблемой — флешка заразила два ноутбука и ещё три флешки. Помог антивирус Касперского ( другие ничего не показывали Dr WEB и Avast и USB guard) Касперский определил путь — C:UsersДмитрийAppDataRoamingWinset Но сначала надо на панели управления — свойства папки — вид-поставить точку — показывать скрытые папки и файлы, тем самым увидеть папку AppData. В папке Winset три файла — они постоянно прописываются на флешке при открытии. В итоге я удалил папку Winset, перезагрузил компьютер — и отформатировал флешку при подключении и всё.
Когда я словил вирус, Касперский его еще не обнаруживал.
Подскажите, пожалуйста, если Process Explorer не обнаруживает процесс autofun.inf, то это значит, что его действительно не существует, компьютер чист и вирус я подхватила с другого компьютера? Папка Temp тоже отсутствует.
Да, вероятнее всего так и есть. Вспоминайте куда флешку втыкали, вот тот то комп и надо чистить.
Movemenoreg vbs как удалить вирус
На флешке все папки стали ярлыками -решено!
Данный пост будет как бы приквелом (если говорить киношными терминами) посту «Скрытые папки на флешкe» ибо и в том и в том виноват один вирус. Итак, воткнув в один прекрасный момент флешку в компьютер, вы замечаете некоторые изменения — все папки на флешке стали ярлыками и обзавелись характерным знаком отличия — стрелочкой. Вроде бы можно подумать, что и ничего страшного, ведь если нажать на ярлык вы переместитесь в нужную папку и продолжите работу как ни в чем не бывало, работает и ладно. Но именно это и нужно было создателям вируса — нажимая на ярлык, вас перемешают не только в вашу папку, но и заставляют выполнить заражение компьютера, на котором вы зашли в папку. Можно очень долго ходить с зараженой флешкой и инфицировать компьютеры, а ведь нам этого совсем не хочется.
Backdoor.win32.ruskill и ярлыки на флешке
Ответственность за создание ярлыков на флешке и превращение папок в скрытые взял на себя вирус-террорист Backdoor.win32.ruskill, которыми данными действиями предоставляет злоумышленнику удаленный доступ к зараженному компьютеру. Функционал у вируса впечатляет — от кражи конфиденциальной информации до DDoS атак, но расписывать все в данной теме не буду, ибо это целый отдельный пост. Вернемся к нашим баранам ярлыкам.
Итак, как уже выяснили Backdoor.win32.ruskill делает все папки скрытыми, создает на них ярлыки с запуском заражения. Найти вирус на флешке проще простого — нужно посмотреть свойства ярлыка и путь куда он ссылается. Вызвав свойства вы уведите такую строку:
%windir%system32cmd.exe /c «start %cd%RECYCLERe5e88а22.exe &&%windir%explorer.exe %cd%Имя папки
Из этого пути сразу видно, что вирус лежит в скрытой папке RECYCLER (как включить отображение скрытых папок читаем здесь http://zone-pc.ru/index.php/praktikum/show-hidden-fil..). По большому счет — можно и гадалке не ходить, а сразу вычищать данную папку — ещё не встречал случаев, чтобы он был в другом месте. После удаления вируса, вы уже не сможете попадать в папку через ярлык, работать он не будет. Можно смело удалять все ярлыки.
После удаления ярлыков вы столкнетесь с проблемой — папки остануться скрытыми и изменить их вам просто так не удастся.
Здесь два варианта:
1. В ручную, через Total Commander изменить атрибуты папок. Об этом я писал в статье Скрытые папки на флешкe — вирус постарался [Решено]
2. Либо создать bat-файл с содержимым:
attrib -s -h -r -a /s /d
После чего его запустить.
Данные действия помогут вам избавится от вируса на флешке и вернуть нормально отображение папок. Останется разобраться с самим главным виновником, ибо антивирусы его зачастую игнорируют. Сам Backdoor.win32.ruskill прописывается по этим адресам:
C:Documents and SettingsимяLocal SettingsApplication Dataвирус.exe
Вирусный exe файл будет иметь имя из 6 случайных латинских букв и цифр.
Физически вирус мы устранили, но он все же оставил свой след и в реестре. Заходим в редактор реестра (Выполнить — Regedit) и удаляем его из ветки:
Выполнив все это мы окончательно убьем заразу на своем компьютере.
Вроде все. Вроде ничего не забыл написать о вирусе Backdoor.win32.ruskill и появлении ярылков на флешке вместо папок. Остались вопросы? Вы всегда их можете задать в комментариях.
мой коментарий1 на сайте: хакер2013:
Ваш комментарий ожидает проверки.
27 марта 2013 в 21:19
Вирус создает на флешке ярлык на скрытую папку на флешке
3 месяца). Сегодня, когда активировал пробную версию антивируса и обновив его, провел проверку ноутбука и флешки на наличие вирусов. Антивирус удалил с флешки следующие файлы «helper.vbs», «installer.vbs», «movemenoreg.vbs». С ноута антивирус тоже вроде эти файлы удалил, я закрыл лог сканирования ноута в антивирусе, поэтому точно не помню. После удаления антивирусом этих файлов, ярлык в корне флешки не открывает скрытую папку. Пробовал скопировать файлы с флешки и отформатировать флешку. После форматирования ярлык не создается, но если вытащить и вставить флешку обратно, то ярлык создается, но не открывает скрытую папку с файлами.
Вирус создает на флешке ярлык на скрытую папку на флешке
Доброго времени суток. Словил вирус на флэшку,который создает скрытую папку на флешке с названием.
Вирус, который создает на флешке скрытую папку под названием 5f5f5
Появился у меня вирус, который создает на флешке скрытую папку под названием 5f5f5. Кто знает, что.
Вирус создаёт ярлык на флешке на невидимую системную папку где находятся все файлы
Я пытался сам от него избавиться. удалял все системные файлы в флешке, надеясь что один из них.
Вирус создает ярлык на флешке
После подключения флешек к моему компьютеру, в корне флешки создается ярлык на скрытую папку, в.
Решение
Внимание! Рекомендации написаны специально для пользователя Михаил О. Если рекомендации написаны не для вас, не используйте их — это может повредить вашей системе.
Если у вас похожая проблема — создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
Решение
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Решение
Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
Флешка создала ярлык самой себя? Это вирус!
Вирусы не дремлят, разработчики их придумывают все новые и новые способы не только заражения флешек, и просто компьютеров, но и новые методы распространения. Сегодня мы поговорим о ситуации, когда на флешке создаются папки с именем самой флешки — вы должны это понимать что это вирус.
Так вот, вирус создает ярлык на флешке, который якобы ведет в rundll32.exe (хотя такой папки нет). Если нажать два раза по ярлыку, то там будут файлы из самой флешки. В общем сначала может показаться что это не проблема, сейчас файлы оттуда заберем и удалим ярлык, но не все так просто.
Самое интересное, что файлы не исчезают и с флешкой как бы можно работать дальше, но вот только есть одно но — при подключении флешки к компьютеру, скрипт записывает себя на компьютер для того, чтобы заражать другие флешки, которые будут когда либо подключены к тому компьютеру.
Вирус уникален также тем, что распространяется только при помощи флешок.
Так вот, теперь перейдем к самому главному — как исправить эту ситуацию.
Лечение от вируса на флешки, который создает ярлык
Подключаем такую флешку к компьютеру и запускаем командную строку, для этого нажимаем Win + R. Появится черное окошко, то есть консоль. В нее пишем следующее:
cd /d F: (у меня к примеру флешка это буква F, у вас может быть другая, так что будьте внимательны);
attrib -s -h -a -r /s /d *.* (*.* — это маска, означает что «лечить» будем все файлы на флешке);
После этого мы можем открыть флешку и увидеть что все файлы на месте.
После этого необходимо удалить все файлы, и оставить только autorun.inf.
Теперь нам нужно открыть программу Process Explorer, если ее у вас нет, то загрузите ее здесь.
Открываем Process Explorer, переходим в меню File (вверху) и выбираем там Show Details for All Processes чтобы были видны все процессы.
Зажимаем комбинацию Ctrl+L, после этого появится окошко в нижней части программы, где будут все процессы. Теперь необходимо найти файл autorun.inf, как правило он находится в ветке svchost.exe.
Теперь нажимаем правой кнопкой по найденному процессу и выбираем закрыть хендл (Close handle) — обычно это проходит без проблем. И уже после этого мы удаляем файл autofun.inf из флешки.
После этого нам нужно попасть во временную папку Temp, пусть который такой: C:users%username%AppDataLocalTemp (можете скопировать и вставить в адресную строку проводника). В этой папке необходимо найти необычный файл, у которого расширение .pif, мы можем как вручную его искать, так и воспользоваться поиском, но лучше все удалить из этой папки, хуже от этого не будет компьютеру, а вот лучше — скорее всего да.
Если вы все сделали правильно, то больше этого вируса у вас не будет ни на компьютере, ни на флешке.
Лучше после всех действий проверить компьютер на вирусы, если у вас нет установленного, то я рекомендую использовать ESET Online Scanner.
Рубрика: Полезно знать / Метки: флешка / 20 Август 2014 / Подробнее
Movemenoreg vbs как удалить вирус
На флешке все папки стали ярлыками -решено!
Данный пост будет как бы приквелом (если говорить киношными терминами) посту «Скрытые папки на флешкe» ибо и в том и в том виноват один вирус. Итак, воткнув в один прекрасный момент флешку в компьютер, вы замечаете некоторые изменения — все папки на флешке стали ярлыками и обзавелись характерным знаком отличия — стрелочкой. Вроде бы можно подумать, что и ничего страшного, ведь если нажать на ярлык вы переместитесь в нужную папку и продолжите работу как ни в чем не бывало, работает и ладно. Но именно это и нужно было создателям вируса — нажимая на ярлык, вас перемешают не только в вашу папку, но и заставляют выполнить заражение компьютера, на котором вы зашли в папку. Можно очень долго ходить с зараженой флешкой и инфицировать компьютеры, а ведь нам этого совсем не хочется.
Backdoor.win32.ruskill и ярлыки на флешке
Ответственность за создание ярлыков на флешке и превращение папок в скрытые взял на себя вирус-террорист Backdoor.win32.ruskill, которыми данными действиями предоставляет злоумышленнику удаленный доступ к зараженному компьютеру. Функционал у вируса впечатляет — от кражи конфиденциальной информации до DDoS атак, но расписывать все в данной теме не буду, ибо это целый отдельный пост. Вернемся к нашим баранам ярлыкам.
Итак, как уже выяснили Backdoor.win32.ruskill делает все папки скрытыми, создает на них ярлыки с запуском заражения. Найти вирус на флешке проще простого — нужно посмотреть свойства ярлыка и путь куда он ссылается. Вызвав свойства вы уведите такую строку:
%windir%system32cmd.exe /c «start %cd%RECYCLERe5e88а22.exe &&%windir%explorer.exe %cd%Имя папки
Из этого пути сразу видно, что вирус лежит в скрытой папке RECYCLER (как включить отображение скрытых папок читаем здесь http://zone-pc.ru/index.php/praktikum/show-hidden-fil..). По большому счет — можно и гадалке не ходить, а сразу вычищать данную папку — ещё не встречал случаев, чтобы он был в другом месте. После удаления вируса, вы уже не сможете попадать в папку через ярлык, работать он не будет. Можно смело удалять все ярлыки.
После удаления ярлыков вы столкнетесь с проблемой — папки остануться скрытыми и изменить их вам просто так не удастся.
Здесь два варианта:
1. В ручную, через Total Commander изменить атрибуты папок. Об этом я писал в статье Скрытые папки на флешкe — вирус постарался [Решено]
2. Либо создать bat-файл с содержимым:
attrib -s -h -r -a /s /d
После чего его запустить.
Данные действия помогут вам избавится от вируса на флешке и вернуть нормально отображение папок. Останется разобраться с самим главным виновником, ибо антивирусы его зачастую игнорируют. Сам Backdoor.win32.ruskill прописывается по этим адресам:
C:Documents and SettingsимяLocal SettingsApplication Dataвирус.exe
Вирусный exe файл будет иметь имя из 6 случайных латинских букв и цифр.
Физически вирус мы устранили, но он все же оставил свой след и в реестре. Заходим в редактор реестра (Выполнить — Regedit) и удаляем его из ветки:
Выполнив все это мы окончательно убьем заразу на своем компьютере.
Вроде все. Вроде ничего не забыл написать о вирусе Backdoor.win32.ruskill и появлении ярылков на флешке вместо папок. Остались вопросы? Вы всегда их можете задать в комментариях.
мой коментарий1 на сайте: хакер2013:
Ваш комментарий ожидает проверки.
27 марта 2013 в 21:19